Incidente cibernético comprometeu CPF, endereço, telefone e valor de faturas. Associação reforça seus objetivos estatutários de buscar a devida responsabilização, conformidade e a justa indenização para os consumidores afetados.
A Companhia Energética de Minas Gerais (Cemig) confirmou a ocorrência de um grave incidente de segurança cibernética que resultou na exposição e vazamento de dados pessoais de aproximadamente 135 mil clientes da sua base de consumidores. O episódio, classificado como uma severa violação de segurança digital, acende um sinal de alerta máximo no mercado e mobiliza a atuação das organizações de proteção de dados no país.
De acordo com os relatórios divulgados pela concessionária, o volume de informações comprometidas é extenso. Foram expostos dados essenciais que violam brutalmente a privacidade do cidadão, tais como: nome completo, filiação, CPF, endereço residencial, e-mail, número de telefone e, de forma ainda mais alarmante, o histórico de valores de faturas de consumo energético. A estatal mineira informou que comunicou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), à Agência Nacional de Energia Elétrica (Aneel) e às autoridades policiais competentes.
Engenharia Social de Alta Precisão: O Perigo dos Golpes
Para o Instituto SIGILO, incidentes dessa magnitude não podem ser minimizados ou tratados como meras fatalidades tecnológicas. A exposição conjunta de dados cadastrais associados ao valor exato da fatura de energia fornece a criminosos a munição perfeita para a engenharia social de alta precisão.
Com acesso ao valor exato da conta de luz e ao telefone do consumidor, golpistas podem confeccionar boletos falsos idênticos aos da Cemig, realizar ligações simulando centrais de atendimento legítimas ou aplicar o golpe do “Pix com desconto”. O risco de fraude financeira contra o consumidor de boa-fé é iminente, sendo que o público idoso e de menor letramento digital figura como a principal vítima potencial dessas abordagens.
Da Necessidade Urgente de se Defender os Direitos dos Titulares de Dados
Alinhado com a sua missão fundamental de promover a cultura de proteção de dados e atuar na vanguarda das garantias civis na era digital, o Instituto SIGILO relembra que a segurança da informação é premissa indissociável da prestação de serviços públicos essenciais. Sob a égide da Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), as empresas que gerenciam serviços essenciais possuem responsabilidade objetiva pela guarda segura dos dados de seus usuários.
A Diretoria do Instituto SIGILO já analisa as medidas cabíveis para o caso. A associação está analisando como será realizada a fiscalização do evento pela empresa e pela ANPD, que vem falhando sistematicamente em proteger os direitos dos titulares de dados:
"Não basta que as empresas enviem comunicados individuais recomendando que os clientes 'fiquem atentos a golpes'. A obrigação de manter os sistemas intransponíveis e em total conformidade (compliance) é da concessionária. Quando ocorre o vazamento, o dano moral coletivo e individual já está configurado devido à quebra de legítima expectativa de segurança e ao desvio produtivo do consumidor, que agora precisará gastar seu tempo vigilante para não ser fraudado"
O instituto salienta que a mera notificação burocrática não isenta a autoria do dano. Diante disso, o Instituto SIGILO avalia a propositura de medidas judiciais coletivas visando a devida reparação e indenização por danos morais aos 135 mil titulares prejudicados, além de exigir auditorias independentes sobre as práticas de governança de dados da estatal.
Recomendações Urgentes aos Clientes Afetados
Diante do cenário de vulnerabilidade instaurado, o Instituto SIGILO orienta os consumidores da Cemig a adotarem protocolos rígidos de autodefesa digital:
- Desconfie de faturas recebidas por canais alternativos: Não efetue o pagamento de faturas de energia enviadas repentinamente por WhatsApp ou e-mails de remetentes suspeitos. Priorize a emissão da segunda via diretamente no aplicativo oficial ou agência virtual regulamentada da Cemig.
- Checagem do beneficiário do Pix: Ao realizar qualquer pagamento via QR Code ou chave Pix, verifique minuciosamente se o nome do destinatário final é de fato a Companhia Energética de Minas Gerais (com o CNPJ oficial). Nunca transfira valores para contas de pessoas físicas.
- Bloqueio de contatos telefônicos: Caso receba ligações telefônicas solicitando senhas, confirmações de códigos SMS ou dados de cartões sob o pretexto de “recadastramento” ou “atualização de segurança devido ao vazamento”, desligue imediatamente. Concessionárias não solicitam dados bancários ou senhas por telefone.
